VRVed北信源内网管理系统用户使用手册

1、北信源内网安全管理系统 用户使用手册 北京北信源软件股份有限公司 o年 支持信息 在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中 心获得帮助和支持！ 热线支持： 400-8188-110 客户服务电话： 在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信 任和支持！ 正文目录 图目录 表目录 第一章 概述 特别说明 北信源终端安全管理系列产品由北信源内网安全管理系统、北信源补丁及文件分发管理系统、 北信源主机监控审计系统、北信源移动存储介质使用管理系统、北信源网络接入控制管理系 统及北信源接入认证网关 6

2、大套件构成。 本手册内容将随着北信源软件的不断升级而改变（以光盘中电子版发行时为最新版），恕不另行通知。需要者 请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。 本手册与本系统的安装配置手册中的所有图片均为示意图，请以实际产品为准。 本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买北信源内网安全管理系统或 北信源补丁及文件分发管理系统等其中之一产品，本说明书的其它功能将不具备。 感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前 认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。 产品构架

3、 北信源终端安全管理产品由 8部分组成： WinPcap 程序、 SQL Server 管理信息库（安装包：环境初始化程 序）、 Web 中央管理配置平台（安装包：网页管理平台）、区域管理器（安装包： Region Manage ，原区域扫 描器已作为模块集成到区域管理器 ）、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主 机保护模块、报警中心模块。 环境初始化程序 SQL Server 管理信息库，建立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端 设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备 属性变化信息、报

4、警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规 则要求在管理平台上报警。 网页管理平台（ web 管理平台） Web 中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设 定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操 作。 Region Manage 区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的 信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系 统自动采集的硬件信息）并行存入数据库；接受来自控

5、制台的命令操作，发送到客户端、扫描器执行。 对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对 网络终端的多级管理。 区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处 理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对 比，根据管理规则在管理平台上报警。 扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据 Web 管理平台中配置的工作范围 进行扫描，如果终端 IP 超越其范围，将不负责执行操作。 Winpcap 程序 嗅探驱动软件，监听共享网络上传送的数据。

6、 客户端注册程序 将接收并执行服务器下发的指令。该程序可以在“工具下载- 用户注册器下载”处下载。访问指定网站自动 获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接 收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。 用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自 动更新。 客户端驻留程序功能： 进行本机硬件属性信息变化监视； 进行本机 IP、 MAC 地址变化审计； 本机系统补丁、软件安装、运行进程状况监测； 探测本机是否有违规联网行为，在内网管理中心或外网报警平

7、台报警； 接受 Web 管理平台的管理命令； 阻断本机非法外联行为； 执行 Web 管理平台下发的各种策略操作。 补丁下载服务器 安装在与 Internet 网络连接的机器上，用于实时下载补丁厂商发布的补丁。 管理器主机保护模块 管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP 范围和具体的其他网 络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的 IP 冲突以及各种网 络、病毒攻击。 报警中心模块 安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事 件和危险级别提供给管理员包括电子邮件、信使服务、

8、SNMP Trap 、手机短信等多种报警方式。 应用构架 北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动 设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。 系统应用主要分为以下两种构架： 基本构架：对于一般网络（例如1 个 C 类地址或若干个 C 类地址的局域网范围），可使用一套本系统软 件，通过一个管理器集中管理所属区域内的所有设备。 扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网 络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全 管理的同时，将

9、本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况 也能够完全掌握。 图 1- 1 北信源终端安全管理应用拓扑 第二章 北信源内网安全管理系统 策略中心 策略管理中心 策略的使用 策略的创建和分发 1.在“策略管理中心”中左侧的策略项中点击需要制定的策略，然后在右侧的【策略名】中输入相应的策 略名称，单击【创建新策略】按钮开始创建策略。 图 2- 1 创建新策略 注：在策略的定义中使用了一些特别的关键字符，这些特殊的字符不应该在策略内容中出现。否则可能会 出现无法预料的系统错误。 这些字符包括： - 高级配置- 补丁下载 【补丁路径】为北信源内网安全管理平台的安装路

10、径，下图为系统默认的，该目录下的 Regio nMa nageDistributePatch即为补丁下载默认的存放路径，提供给客户端下载。 图3-1区域管理器补丁管理设置 参数 说明 最大连接数限制 设置客户端同时连接区域管理器并发下载补丁数 量 下载流量限制 限制下载补丁时区域管理器的最大流量值 级联选项 上下级区域管理器级联情况下，设定上级区域管 理器IP和数据通讯端口 表3- 1区域管理器补丁管理参数说明 补丁级联下载功能 主要针对在多层级联的环境内，各下级区域在进行系统补丁加固时，只需总部从外网上下载补丁后，使用 移动存储设备从外网拷入系统补丁，其下级区域无须再额外的从外网上下载系统补

11、丁，其系统补丁均可从 总部的服务器上获得。 使用该功能时要求在下级安装的区域管理器的相应选项中填写上级区域管理器的IP地址，便可方便的获得 系统补丁，并实时和上级区域的补丁数量保持一致。从总部下载得到的补丁将存放在vrvRegion 目录下保存。 文件分发策略配置 经过以上配置后，还需要进行补丁策略分发参数设置： 图3- 2分发参数设置 进行策略任务分发前选择【启动策略分发】和【启用ping探测】。确定分发文件所在的路径，分发时间间 隔、分发数据通讯端口、分发线程等相关参数。如需设置级联，请在级联选项中，指定上级区域管理器级 联IP地址等，上述部分参数按照系统默认设置即可。 区域管理器在下发策

12、略前，先ping 下客户端，ping通之后再下发策略。优点：效率高；缺点：对于设置 了禁ping的客户端不起作用。默认方式是TCP方式，此方式效率低。 策略中心 补丁分发策略 补丁自动分发 功能说明：可以实现对补丁按类型、分组自动分发，并且可以设置下载前提示、运行前提示、检测方式 等。 参数说明： 参数 说明 补丁类型 分为“ system”、“ IE”、“应用程序”三个选 项，分别是针对微软操作系统、IE浏览器、和一 些应用程序的补丁的分类，在我们的内网安全管 理系统中，主要是指微软官方发布的各种补丁和 我们北信源公司发布的各种安全补丁程序。“等 级大于等于”下拉菜单主要指微软官方对补丁所

13、带来的系统风险的评估，等级越高，相对应的风 险越咼。 补丁分组 这个模块是内网安全管理系统为了方便管理员对 补丁的管理而设置的分组，管理员可以根据自己 的习惯将补丁划分为“ A组”、“ B组”“ C 组”三部分，具体的划分，需要在主系统菜单中 的“补丁分发”菜单中的补丁库分类列表中制 定。 补丁测试 这里的测试是指当补丁下载服务器根据配置从网 站上下载了补丁后，是否需要在选定的对象计算 机内作小范围测试，然后再在整个网络环境中推 广的补丁发布形式。当选中该选项时，自动分发 补丁的设置和策略不起作用，只能取消测试选项 或者在“补丁分发”菜单中的补丁库分类列表中 选定相应补丁，然后点选页面左上角的

14、“允许下 载补定”选项也可以达到补丁的目的。还可以采 用下面的“人工选择补丁分发”策略来达到向全 网络发布补丁的目的。 运行设定 后台运行：是指不提示客户端，不显示程序界 面，直接在客户端后台运行的处理策略。其中的 “运行优先级”的从低到高，是指当补丁程序在 后台运行中，对计算机整体系统资源占用的比例 也是从低到高的。下载前提示，是指在客户端下 载补丁之前，在其显示界面上弹出管理员设定的 信息。下载兀成后提示并执仃，是指客户端兀成 下载指定补丁，并且在其显示界面上弹出管理员 设定的信息，同时执行补丁安装程序。 检测方式 启动时检测，疋指在计算机启动时，进仃新 补丁程序信息的检测；“停止检测”，

15、是指不检 测补丁服务器中的新补丁程序信息；“定时检 测”，是指设定计算机定期定时去进行新补丁程 序信息的检测；“间隔检测”，是指每隔设定的 时间段进行新补丁程序信息的检测。 岀错处理 点选“下载失败重试”复选框，则客户端如果不 能从服务端成功下载策略规定的补丁，就进行重 试操作，重试的次数和重试间隔填入后边的空白 处即可。 表3- 2补丁自动分发策略参数说明 策略实例： 图3- 3补丁自动分发 注意事项： 1 补丁安装使用后台运行方式时，设定的优先级要适当，避免影响客户端的正常使用。 2 关于测试选项，希望大家详细看看注释和设置说明，以免影响补丁程序的正常升级。 人工选择补丁分发 功能说明：通

16、过策略提供客户端补丁的管理员手工设定的下载及安装，可设置补丁探测时间，运行参数及 运行形式。基于分发时间、补丁检测周期等进行策略制订，策略发送到网络客户端后，客户端注册程序统 一执行补丁应用策略。 参数说明： 参数 说明 命令行参数 如果需要执行该补丁自带的某些选项的话，比如 说，自动安装等等，需要设置这里的命令行参 数。具体的命令行参数可以在该补丁的说明书中 找到，或者在 Ms-Dos窗口中敲入该补丁文件名 加“ / ?”参数进行查询。 运行设置 “后台运行”：是指不提示客户端，不显示程序 界面，直接在客户端后台运行的处理策略。其中 的“运行优先级”的从低到高，是指当补丁程序 在后台运行中，

17、对计算机整体系统资源占用的比 例也是从低到高的。“下载前提示”，是指在客 户端下载补丁之前，在其显示界面上弹出管理员 设定的信息。“下载完成后提示并执行”，是指 客户端完成下载指疋补丁，并且在其显示界面上 弹岀管理员设定的信息，同时执行补丁安装程 序。 检测方式 “停止检测”，是指不检测补丁服务器中的新补 丁程序信息；“启动时检测”，是指在计算机启 动时，进行新补丁程序信息的检测；“定时检 测”，是指设定计算机定期定时去进行新补丁程 序信息的检测；“间隔检测”，是指每隔设定的 时间段进行新补丁程序信息的检测。 出错处理 点选“下载失败重试”复选框，则客户端如果不 能从服务端成功下载策略规定的补

18、丁，就进行重 试操作，重试的次数和重试间隔填入后边的空白 处即可。 表3- 3人工选择补丁分发策略参数说明 注意事项： 1 注意此处设定的策略，不要与补丁自动分发策略中的设置相冲突。 软件分发策略 功能说明：提供服务器向客户端分发各种文件，如可执行文件并可以自动运行，服务器端可以选择分发的 目标路径、设定运行参数、是否后台运行，同时向客户端发送提示信息。注：上传文件的终端需要注册。 参数说明： 参数 说明 保存目标路径 文件分发到客户端后，在客户端保存该文件的位 置，要手动输入。 命令行参数 定分发完成后运行，如果需要该程序执行自带的 某些功能的话，比如说，自动安装等等，需要设 置这里的命令行

19、参数。具体的命令行参数可以在 该软件的软件说明书中找到，或者在Ms-Dos窗 口中敲入该命令加“ /?”参数进行查询。 “运行前提示”，是指在客户端下载完成后，通 过内网管理系统使其自动运行时，管理员设置的 在客户端弹岀的消息窗口内容。“重复执行”， 是指在客户端每次开机执行一次发布的文件，一 般用于一些程序的升级。“后台运行”，是指不 提示客户端，不显示程序界面，直接在客户端后 台运行的处理策略。 表3- 4普通文件分发策略参数说明 具体操作：点击【浏览】选择需要分发的文件后，单击【开始上传】按钮，待上传完毕后即可在【文件 名】处的下拉框中选择预分发的文件（也可以一次上传多个文件）。最后单击

20、【保存策略】按钮，待依次 指定对象和启用策略后，该策略则开始生效。文件完全分发到客户端需依照文件大小决定。分发完后根据 条件进行安装文件检测，确定文件安装成功。 注意事项： 1上传文件时注意：必须是已注册本服务器的客户端；不上传桌面上的文件，上传不会成功； IE7 等浏览 器的安全级别调至中或者中低； 2如果误上传了需要分发的文件，管理员可以到Web 管理平台安装的计算机上进入 目录下手动删除该文件即可。 其他策略 终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策 略中心中的对应项。 补丁分发 补丁的来源可使用北信源补丁下载服务器从软件厂商网站获取补

21、丁索引及补丁，直接或通过移动存储设 备，导入内网区域管理器的补丁分发目录进行客户端补丁自动分发，客户端将获取的补丁放在本 地 %windir%system32distribute 目录下，下载后可自动安装，安装后会自动删除安装文件。 补丁库分类列表：对补丁进行分类显示，设置补丁检测页面的运行参数；支持多种方式对补丁分发结果信 息进行查询。 补丁下载设置：当客户端访问补丁检测中心时，检测客户端是否安装了探头，未安装时设置响应的提示信 息。 本地补丁分发查询：可按系统提供的多个查询条件例如所属区域、操作系统等对指定区域的网络终端进行 补丁安装状况查询。 本地补丁分发统计：可以对某个补丁、某个区域、

22、某个组、某个时间段的分发情况进行统计。 本地已安装补丁统计：对本地已安装补丁数进行全面的统计，对每个级别的补丁数做出统计。 本地未安装补丁统计：对本地未安装补丁数进行全面的统计，对每个级别的补丁数做出统计。 本地漏洞计算机统计：对选定的区域中的客户端进行漏洞统计，统计出存在高风险漏洞、中风险漏洞、低 风险漏洞的终端数。 级联补丁分发查询：可以按 IP 地址、补丁号和下载补丁时间查询级联补丁的分发情况。 级联已安装补丁统计：统计级联已安装补丁，信息包括每个级别补丁数，未安装设备总数和下载补丁数量 级联未安装补丁统计：统计级联未安装补丁，信息包括每个级别补丁数，未安装设备总数和下载补丁数量 等。

23、补丁自动下载分发 北信源终端安全管理支持对微软操作系统发布补丁的统一分发，并且用户可使用此系统进行级联方式的补 丁自动分发安装和监控。 统一补丁分发通过北信源补丁下载服务器（互联网）从互联网下载所有补丁。 对于物理隔离的内部网络，其补丁升级服务器中的补丁数据必须从外部获得，因此，要求在 Internet 上进行 补丁下载，巨大的补丁库使得每次补丁导入工作非常烦琐。北信源针对此类物理隔离的内网，使用增量式 补丁分离技术，在外网补丁下载服务器分离出内网已安装、未安装补丁，分类导入系统补丁，即仅对内网 的补丁进行“增量式”的升级，以提高效率。通过增量补丁分离器，在每次导入导出补丁时，可减少拷贝 工作

24、量（系统菜单中的补丁策略定义、补丁库分类、补丁安装查询、补丁下载查询主要基于此种方式工 作）。 补丁下载服务器 图 3- 4 补丁下载服务器界面 北信源终端安全管理中包括了补丁下载服务器模块软件，直接运行文件进行下载补丁文件。 补丁下载服务器默认配置为从微软公司网站下载微软所有补丁，下载后移植到北信源终端安全管理的系统 目录下保存。 指定下载补丁类型包括： 1）中文补丁、英文补丁。 2） 微软公布的级别补丁：0级、1级、2级、3级、4级。 3）系统类别：、 WIN NT、Windows 2000、Windows XP、Windows7 和其他（包括 Windows 2003）。 补丁下载设置

25、实时、定时两种方式探测补丁厂商网站补丁更新状况。 图3- 5补丁下载服务器设置 补丁库分类 补丁分析器功能模块，针对下载的补丁，由补丁分析器进行归类存放，按照不同操作系统类别、补丁编 号、补丁发布时间、补丁风险等级、补丁公告进行归类，帮助管理人员快速识别补丁重要程度。 补丁厂商如微软，其补丁发布时就指定补丁号、补丁类型、补丁危害程度、操作系统支持等补丁属性，北 信源终端安全管理自动识别补丁的不同属性并归类。 补丁库分类包括：A类、B类、C类、T类。将所有补丁自由组合为不同的类，A类、B类、C类、T类为 用户自定义类型补丁（ T类建议为测试类型补丁，用于一些特殊补丁的测试，指定用于特定的测试组机

26、 器）。 补丁下载转发代理 可以在区域管理器中选择【支持下载转发代理】选项，选中此项功能后，当网络内有数量较多的计算机下 载补丁或者文件时，计算机可以搜索临近IP范围内状态最好的计算机，从这台状态最好的计算机上下载相 应的补丁或者文件。这样就可以大大减少网络内的服务器的数量，减少网络的带宽的占有率，保证工作的 正常进行。 图3- 6补丁代理传发支持 客户端补丁检测（一） 本功能主要用于计算机用户自行进行补丁检测，使用本功能前需要做两项工作： 将补丁下载服务器下载的补丁和补丁索引拷入区域管理器系统：Region Ma nageDistributePatch目录下。 在单位网站主页安全栏目或其它专

27、门栏目建立一个补丁安全监测提示或者通知，该提示或通知链接到系统 Web管理平台的IIS的patch Web虚拟目录（），提供客户端访问补丁自动探测功能。 客户端访问本机构网站的时候，选择主页补丁安全探测提示自动链接到北信源补丁分发管理系统Web管理 平台的客户端补丁探测主页上，该主页自动探测客户端是否注册，如果已经注册，将显示该系统补丁安装 情况，根据提示信息选择性手动下载补丁安装。 图3- 7补丁下载设置 参数 说明 未安装客户端探头 时提示 若客户端未曾注册，网页探测后给岀提示 未安装探头时显示 补丁类型 管理员自行设置显示补丁类型（操作系统补 丁、IE补丁、应用程序补丁等） 是否提示下载

28、探头 对于没有注册的用户，提示进行注册 探头下载地址 指向网页管理平台ip/vrveis/dow nload/ 表3- 5补丁下载设置参数说明 补丁检测中心 在web登录页面点击【工具下载】，进入工具下载页面，如下图所示: 图3- 8登录页面 图3- 9工具下载页面 点击【补丁检测中心】进入补丁检测中心页面，如下图所示： 图3- 10补丁检测中心 客户端补丁检测（二） 本功能主要用于网络管理员对客户端计算机进行补丁检测，通过Web管理平台中的终端控制功能对客户端 进行漏打补丁检测，详细列岀客户端当前补丁安装状况，通过终端管理功能对客户端机器进行补丁管理。 具体操作：终端管理终端点-点控制 查看

29、漏打补丁 图3- 11客户端补丁漏打检测 第四章北信源主机监控审计系统 策略中心 行为管理及审计 文件输出审计策略 功能说明：该功能用来屏蔽和设置选定客户端的文件输岀和监控。其中包括设置打印机拒绝打印的文件类 型、将固定扩展名的文件拷贝到网络盘、禁止发送邮件和对审计结果的上报。这里的打印控制与审计功能 包括本地打印和网络打印。 参数说明： 参数 说明 打印输岀控制 选定“禁止打印文件”复选框，设置不允许目标 对象打印的文件扩展名即可，如果保持空白，则 所有文件均可打印，如果选定“审计打印文件” 复选框，所有打印的文件都要经过内网安全管理 系统的审计备案。 网络共享输岀控制 选定“禁止将文件拷贝

30、到网络盘”复选框，可在 “禁止拷贝文件扩展名”的空格处填入相应的文 件扩展名。如果选定“审计网络拷贝文件”复选 框，所有网络拷贝的文件都要经过内网安全管理 系统的审计备案。 邮件输岀控制 选定“禁止发送邮件”复选框，即可禁止发送邮 件。如果选定“审计发送邮件”复选框，所有发 送的邮件都要经过内网安全管理系统的审计备 案。 表4-1文件输岀审计策略参数说明 注意事项： 1 本策略涉及到网络办公的一些功能，请在设置前规划好需求。 文件保护及审计策略 功能说明： 1 保护和审计客户端的指定目录和网络共享文件的读取、修改、删除权限。 2 可以设置当哪些进程操作指定文件时进行保护，哪些进程操作指定文件时

31、不实施保护。 注意事项： 1 本策略涉及到网络办公的一些功能，请在设置前规划好需求。 2 建议修改本策略者在管理员或专业技术人员的帮助下修改本项策略，以免影响计算机的正常使用。 上网访问审计 功能说明：该功能用来审计对Web站点的访问，并且能够将审计结果处理上报到服务器或者记录到本地文 件。 参数说明： 参数 说明 站点名 设置需要或不需审计的 web站点的名称。 限制方式 指选择是否对列表中的 web站点的访问进行审计 的处理方法。“仅审计对以下Web站点访问”的 方式，是指对列表中的 web站点的访问进行审 计。“仅不审计对以下 Web站点访问”的方式， 是指对列表中的 web站点的访问不

32、进行审计。 对审计结果处理 对web站点进行审计后的结果有两种处理方式： 上报到服务器、记录到本地文件。 表4- 2上网访问审计策略参数说明 上网控制策略 功能说明：屏蔽选定用户（在本策略的对象中设定的）计算机的一些指定网站的屏蔽。 注意事项： 1 这种限制上网的方式只能限制通过域名访问站点的上网方式，对直接用ip访问的客户机没有什么效果。 IM即时通讯记录审计 功能说明：对即时通讯软件的通讯记录通过设置关键字进行审计，审计结果可以保存在本地也可以上报到 服务器。 注意事项： 1目前支持QQ和MSN两款软件。 安全刻录审计 功能说明：对客户端的刻录操作进行控制与审计，包括是否允许刻录、允许刻录

33、的文件类型、不允许刻录 的文件类型等。 涉密检查策略 上网访问痕迹检查 功能说明：检查访问某一特定网络的历史信息，针对IE缓存、IE清单、Cookie信息、收藏夹，在检测网络 地址中输入网站的域名后，单击【添加到列表】按钮，最后保存策略并指派对象，启动策略即可。如果待 检查的计算机中留有以列表中列举的信息，则显示提示信息框。 文件内容检查 功能说明：对指定的某一文件夹或某一类型文件，检查是否有违规的信息。添加检测文件夹的名称及检测 文件的后缀名称，按逻辑条件进行检测，“or ”代表两个条件中有一个成立则检测，“and”代表两个必须 要都符合才检测。 参数说明： 参数 说明 检测文件夹 设置需要

34、进行检测的文件夹。保持为空则全盘检 测,否则请输入盘符或路径。 检测文件后缀名 输入要检测的文件的后缀名。选中“仅检测符合 的文件名选项只检测文件名字，不检测文件内 容。文件名（不带扩展名）在检测内容中输入，最 多可同时检测 3个文件。 逻辑条件匹配方式 设置检测条件为“与”或“或”的关系，即 “AND 、“ OR”。 检测内容 三个检测内容项分别填写三个需要检测的文件。 表4- 3文件内容检查策略参数说明 终端涉密检查配置 功能说明：创建涉密检查工具的桌面快捷方式，用户可以直接使用。 终端文件粉碎配置 功能说明：创建终端文件粉碎工具的桌面快捷方式，用户可以直接使用。 其他策略 终端配置策略、

35、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策 略中心中的对应项。 数据查询 上网访问审计 审计指定范围内的客户端在指定时间段的上网访问记录。 上网访问统计 统计指定范围内的客户端在指定时间段内访问指定网站的上网记录，包括访问的网站信息以及访问次数等 信息。 IM 即时通讯审计 审计指定范围内的客户端在指定时间段的 IM 即时通讯记录，包括 QQ、 MSN 两种通讯软件的通讯记录。 文件输出审计 审计指定范围内的客户端在指定时间段的文件输出，包括对打印文件输出，电子邮件输出，网络共享输出 三种文件输出方式的审计。 文档打印记录 查询指定范围内的客户端在某个时间段

36、的打印记录，包括文档名 称、打印份数、页数、文件大小和打印进程等信息。 文件保护审计 审计指定范围内的客户端在指定时间段的对被保护文件的操作，包括访问文件、修改文件和删除文件。 涉密检查查询 根据策略中心中配置的策略，进行包括 IE 访问涉密检查（ IE 缓存、 IE 清单、 cookie 信息、收藏夹），文件 内容涉密等方面的查询。 第五章 北信源移动存储介质使用管理系统 策略中心 可移动存储管理 可移动存储审计 功能说明： 对移动存储设备接入做控制，对非本单位的移动设备自动识别（需要对本单位的移动设备添加 标签）。 通过对移动设备的读写控制及审计操作，来管理移动设备的行为操作，在本单位的移

37、动设备中添加标签的 操作需要使用移动存储设备认证工具完成。具体配置，见附录（二 ）。 注意事项： 1禁用 u 盘、软盘、光盘的一部分功能，也可以在硬件设备控制策略中完成，功能上没有什么区别，用户 可以根据自己的习惯和用途，自行设定。 2审计只审查文件名，不对文件内容进行检索。 其他策略 终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策 略中心中的对应项。 数据查询 移动设备审计 审计指定范围内的客户端在指定时间段的移动设备操作，包括移动设备接入、读取移动设备、写入移动设 备和 SAFE6 登录审计。 第六章 北信源网络接入控制管理系统 网关接入配置认

38、证 配合硬件网关，进行网关重定向配置。 图 6- 1 网关接入认证 图 6- 2 重定向配置 点击“接入用户管理”，添加接入的用户。 图 6- 3 用户添加 策略中心 接入认证策略 指对接入网络中的设备的一种认证方式，主要包括以下策略： 补丁与杀毒软件认证策略 功能说明：对杀毒软件运行状态及病毒库版本安全检测和系统补丁安装情况的安全检测。当终端未运行杀 毒软件时可以依据策略提示用户、指定下载地址让用户去安装、甚至直接限制网络访问、进行Vian隔离, 当漏打指定列表中补丁时则提示、指定相应的url地址去下载安装或者直接限制网络访问，当限制网络后可 以添加允许安全服务器访问的地址。 参数说明： 参

39、数 说明 未运行杀毒软件执行 （URL地址） 可以把杀毒软件的安装包放在指定的URL页面 中，当客户端没有运行杀毒软件软件时，就直接 打开这个网址或直接运行安装包。 未运行杀毒软件时 根据策略做相应处理：会根据策略中的接入认证配 置”的配置做相应处理。 限制网络访问后，允 许安全服务器连通列 表 客户端被限制网络访问后，允许其连通的服务器。安全 服务器的作用是修复客户端。 表6-1补丁与杀毒软件认证策略参数说明 策略实例： 图6- 4补丁与杀毒软件认证策略 注意事项： 1 .“系统补丁安全检测”仅设备启动时检测一次。 2. 被限制访问后下次重新启动才会恢复。 进程服务注册表认证策略 功能说明：

40、在身份认证之前依据事先制订的策略，先对接入的客户端进行安全检查，检查是否运行了指定 运行的进程，是否开启了指定的服务，注册表里是否有指定的项、键值、键名。 接入认证策略 功能说明：协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端 口访问网络。在获得交换机或LAN提供的各种业务之前，对连接到交换机端口上的用户/设备进行认证。在 认证通过之前，只允许EAPoL （基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过 以后，正常的数据可以顺利地通过以太网端口。如下图所示： 图6- 5接入认证策略 根据配置，可以做到两种方式联网；a.当策略

41、检测符合要求后认证成功会自动联网；b.也可以在已经配置好 交换机，当终端接入交换机中，会弹岀认证界面。下面我们以第二种为例： 图6- 6 802 . 1x认证界面 输入Radius服务器中预先设置的用户名和口令，开启认证，如图： 图6- 7 802 . 1x认证界面 如果安全检查与策略中设定的策略有违规，认证客户端则不允许进行认证，如图： 图6- 8安全检查没有通过，不启动认证 安全检查通过后，如果输入的用户名和口令不符合Radius服务器中预先设订用户名和口令，则认证也失 败，如图： 图6- 9认证失败 注意事项： 1 认证状态有三种颜色，红色：认证失败。黄色：未进行认证。绿色：认证成功。

42、2. 密码验证类型：客户端与服务端类型一致才可以通过。 3. 证书认证，需要 相应证书的 USBkey与密钥支持。 网关接入认证 功能说明：配合硬件网关，进行网关重定向配置。 注意事项： 1 选择可添加网关：需要先配置“网关接入认证” VIFR接入认证 功能说明：虚拟隔离强制注册。 参数说明： 参数 说明 多重控制 非主控服务器可以处理一些主控服务器执行的任 务。 在子网区域规模较大的情况下使用，减轻主控服 务器的压力。 终端校验 正常情况下，未注册和注册的机器可以互相访 问。勾选本选项后，未注册终端就不能访问已注 册终端，但是已注册终端依旧可以访问未注册终 端。 限制非法接入终端访 问的重要

43、服务器 用来保护重要的服务器。 默认情况下，未注册的终端是不可以访问不在同 一个网段的重要服务器，但是可以访问在冋一个 网段的重要服务器的。 表6- 2 VIFR接入认证策略参数说明 其他策略 终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策 略中心中的对应项。 环境准备方法 安装 RADIUS (windows IAS) 安装RADIUS 1 .进入添加/删除程序中添加/删除Win dows组件，选择网络服务中的In ter net验证服务 图6- 10添加In ternet验证服务组件 2安装IAS后，进入IAS配置界面 图6- 11 IAS配置

44、界面 为RADIUS服务器添加客户端 1 右击“ RADIUS客户端”，选择“新建 RADIUS客户端。客户端地址为验证交换机的管理地址，点击 【下一步】。 图6- 12新建RADIUS客户端 2. 选择“ RADIUS Standard ，共享机密为交换机中所配置的key。点击【完成】。 图6-13新建RADIUS客户端 3. 右击“远程访问策略，单击“新建远程访问策略”。 图6- 14新建远程访问策略 设置远程访问策略 1 为策略取一个名字，点击【下一步】 图6- 15设置远程访问策略 2 选择以太网，点击【下一步】 图6- 16设置远程访问策略 3 选择用户，点击【下一步】 图6- 17

45、设置远程访问策略选择用户 4使用 MD5 质询，点击【下一步】，并完成。 图 6- 18 设置远程访问策略使用 MD5 质询 5在右面板中右击所新建的策略，选择“属性”。 图 6- 19 设置远程访问策略新建的策略 6点击【添加】，选择“Day-And-Time-Restrictions ” 图 6- 20 选择 Day-And-Time-Restrictions 7选择【添加】，选择【允许】，单击【确定】。 图 6- 21 选择允许 8. 删除NAS-Port-Type匹配” Ether net,并选择授予访问权限 图 6- 22 设置属性 9. 单击编辑配置文件,选择高级 【添加】 选择【

46、添加】 64 Tunnel-Type ： VLAN 65 Tunnel-Medium-Type ： 802 81Tunnel-Pvt-Group-ID ： VLAN ID 图 6- 23 添加属性值 vlan 图 6- 24 添加属性值 802 图 6- 25 添加属性值 600 图 6- 26 添加属性值 600 10. 单击【确定】 图 6- 27 编辑拨入配置文件 设置连接请求策略 1. 右击连接请求策略,选择新建连接请求策略 图 6- 28 新建连接请求策略 2. 选择自定义策略,并为该策略取个名字 图 6- 29 为策略取名字 3. 策略状况选择添加Day-And-Time-Rest

47、rictions ,配置方法同上。然后一直【下一步】并完成。 图 6- 30 策略配置 添加认证用户 1. 添加远程登录用户。在本地用户和组中新建一个用户。 图 6- 31 添加远程登录用户 2. 右击新建的用户,进入属性,选择隶属于,删除默认的USERS 组 图 6- 32 设置用户属性 3. 点击拨入,设置为允许访问 图6- 33设置test用户 4. 打开组策略计算机配置 windows 设置 安全设置 帐户策略 用可还原的加密来存储密码启用 图 6- 34 设置启用 5. IAS 配置完成。 6. VRV EDP Agent 认证成功。 图 6- 35 VRV EDP Agent 认证

48、成功 7. Radius Server:Cisco 注：安装 Cisco ACS 前,需要先安装 JDK 环境 （1 ）进入 Cisco ACS 配置页面 点击User Setup，进入创建用户界面 图 6- 36 创建用户界面 （2 ）输入用户名并选择Add/Edit 进行用户的添加 图 6- 37 用户添加 （3）为该用户设置密码 图 6- 38 设置用户密码 （4 ）进入 Network Configuration 图 6- 39 进入 Network Configuration AAA Clients 为交换机， IP 地址是交换机的管理 IP AAA Servers 为 Radius

49、 服务器的地址 AAA Client 配置 图 6- 40 AAA Client 配置 （5） AAA Server 配置 图 6- 41 AAA Server 配置 （6 ）进入 Interface Configuration 图 6- 42 进入 Interface Configuration （7）进入 RADIUS（IETF） ，勾选第 64，65，81 项，保存 图 6- 43 进入 RADIUS（IETF） （8 ）进入 Group Setup 图 6- 44 进入 Group Setup （9）选择 Edit Settings ，勾选第 64，65，81 项 64Tag1 选择

50、VLAN 65Tag1 选择 802 81Tag1 选择需要跳转的 VLAN ID 号。 即管理员可给属于不同 VLAN 的客户端分发用户名和密码，让他们在输入用户名和密码进行验证后跳转至 属于自己的 VLAN 当中。 图 6- 45 进入 Edit Settingsp 各厂商交换机配置 Cisco2950 配置方法 Enable /* 进入特权模式 */ config t /* 进入全局配置模式 */ aaa new-model /* 启用 aaa认证 */ aaa authentication dot1x default group radius /* 配置认证使用 radius 服务器数

51、据库 */ aaa authorization network default group radius/*VLAN 分配必须 */ 指定 radius 服务器地址为，通信密钥为 vrv ，端口不用制定，默认 1812 和 1813*/ radius-server vsa send authentication /* 配置 VLAN 分配必须使用 IETF 所规定的 VSA 值 */ int vlan 1 no shut /*为交换机配置管理地址，以便和radius 服务器通信 */ int range f0/1 - 11 dot1x port-control auto switchport

52、mode access /*为 1到 11端口配置 dot1x，12 端口不配 */ dot1x guest-vlan ID （ VLAN 跳转命令） exit /* 退回全局配置模式 */ dot1x system-auth-control /* 全局启动 dot1x*/ aaa authentication login default line enable local /*开启 telnet 远程登录 */ exit /* 退出全局模式 */ 2950 交换机上 VLAN 的配置 vlan database vlan ID enable config t int range fO/1 -

53、20 switchport access vlan ID switchport mode access spanning-tree portfast 华为 3COM 3628 配置 dis cu # sysname H3C # domain default enable test # dot1x dot1x timer tx-period 10 dot1x retry 4 # radius scheme system radius scheme test server-type standard key authentication vrv key accounting vrv user-name-format without-domain # domain system domain test scheme radius-scheme test vlan-assignment-mode str